Two-Factor認証

パスワードがどんなに複雑であっても、多くのアプリケーションのセキュリティは十分ではありません。セキュリティ強化のため、Two-Factor認証を使用します。Two-Factor認証では、HPE OneViewの認証に2つのファクターが必要です。2つのファクターとは、ユーザーが所有するもの(スマートカード)およびユーザーが知っているもの(個人識別番号)です。

HPE OneViewのユーザーおよびパスワード認証

HPE OneViewでは、ユーザーはローカルユーザーとして構成できるほか、エンタープライズディレクトリでリモートで構成できます。

従来のユーザー名とパスワードのログインシーケンスは以下のとおりです。

  1. ユーザーが自分のユーザー名とパスワードを入力します。

  2. HPE OneViewがユーザー名とパスワードを認証します。

    • ユーザー名がHPE OneViewで構成されるローカルユーザーの名前である場合、HPE OneViewは手動で指定したユーザー名とパスワードをHPE OneViewデータベースを使用して検証します。

    • ご使用の環境がエンタープライズディレクトリを使用する構成の場合、HPE OneViewはユーザー名とパスワードを構成されているディレクトリサーバーにすぐに転送して、認証します。

  3. 認証が成功すると、HPE OneViewはユーザーの認証権限を判断します。

    • ローカルユーザーのログインの場合、認証権限がユーザーに関連付けられている役割に基づいて決定されます。

    • エンタープライズディレクトリのログインの場合、HPE OneViewは、ユーザーに関連付けられているグループ名を取得するため、ディレクトリサーバーに要求を送信します。グループ名を使用して、HPE OneViewで構成されるユーザーの認証権限を判断します。

HPE OneViewのTwo-Factor認証

Two-Factor認証を有効にすると、スマートカード(例えば、CAC(Common Access Card)カード、PIV(Personal Identity Verification)カード)を使用してHPE OneViewで認証できます。ブラウザーのスマートカードリーダープラグインはスマートカードを読み取り、ユーザーが指定したPINを使用してカードの証明書にアクセスします。スマートカードに内蔵されているクライアント証明書は、ブラウザーでHPE OneViewに示されます。クライアント証明書は、以前にHPE OneViewにインポートされたルートまたは中間認証機関(CA)による署名が必要です。アプライアンスはクライアント証明書を認証し、証明書で指定されたユーザー名がHPE OneViewでのディレクトリサーバー構成で認識された有効なユーザーの名前であることを検証します。

Two-Factor認証が有効である場合、HPE OneViewは、最初のログイン時に受け取ったユーザー名に関連したアカウントを使用するのではなく、ユーザーがセットアップして所有するMicrosoft Active Directoryサービスアカウントを使用して、ユーザーのActive Directoryエントリーにアクセスします。
注記:

  • Active DirectoryはHPE OneViewアプライアンスに含まれていません。個々に、ご使用の環境にActive Directoryをインストールする必要があります。

  • HPE OneViewでは、サービスアカウントバインドタイプで構成されたActive DirectoryでTwo-Factor認証がサポートされています。

Active DirectoryやOpenLDAPなどのエンタープライズディレクトリを使用するようにHPE OneViewを構成すると、ディレクトリにはHPE OneViewユーザーインターフェイスで使用する名前が割り当てられます。複数のディレクトリサーバーがこのディレクトリにサービスを提供し、高可用性を確保することができます。ディレクトリグループにはHPE OneViewの役割が割り当てられ、そのグループのメンバーであるディレクトリユーザーにはそのHPE OneViewの役割が割り当てられます。対応するディレクトリサーバーを持つHPE OneViewディレクトリは一度だけ定義でき、1つのセットを使用して役割マップをグループ化できます。同じディレクトリサーバーセットに対して追加の異なるHPE OneViewディレクトリ名を割り当てることはサポートされていません。

インフラストラクチャ管理者は、クライアント証明書の認証時にHPE OneViewが適用するルールを柔軟にカスタマイズすることもできます。インフラストラクチャ管理者は、HPE OneViewがユーザー名、ドメイン名、およびOIDを取得する証明書内の位置を構成して、証明書が有効であることを示す必要があります。

ユーザーがTwo-Factor認証を使用してアプライアンスにログインした場合、デフォルトでは、ユーザー証明書の失効チェックが行われるかどうかは、アプライアンスのCRLを使用できるかどうかで決まります。ユーザー証明書のCRLを使用できない場合、初回のTwo-Factor認証ログインで失効チェックは行われません。CRLの自動ダウンロードのユーザー設定が有効になっている場合、Two-Factor認証ログイン時にユーザー証明書のCRL DPが取得されて保存されます。証明書の発行元CAに対しては、対応するCRLがダウンロードされます。アプライアンスのトラストストアにユーザー証明書の発行元CAが登録されている必要があります。CRLが使用可能になると、次回のTwo-Factor認証ログインでは失効チェックが実行されます。

CAC/PIVカードに保存されている証明書はX.509セキュリティ証明書です。証明書には、証明書の所有者、証明書の発行元、およびその他の証明書の識別要素を識別するための情報のフィールドが含まれます。Two-Factor認証を有効にすると、HPE OneView GUIのクライアントログイン証明書構成画面を使用して、HPE OneViewがユーザーの検証に使用する必要がある証明書フィールドを指定できます。

注記:

REST APIを使用してスマートカードのログインを認証する場合、使用されるRESTクライアントはHPE OneViewが要求するクライアント証明書認証をサポートしている必要があります。

コマンドラインを使用した、Two-Factor認証に基づくHPE OneViewへのログイン

REST API /rest/login-sessions/smartcardsを使用してリモートでアプライアンスにログインできます。これを行う方法には、curl-7.54.1-1バージョン以降を使用し、次にlibssh2を使用する方法が考えられます。以下に、コマンド例を示します。
# curl -v -i -X POST -H "Accept-Language:en-US" -H "X-Api-Version:<version number>" --cert ./client-cert.pem:<PEM pass phrase> 
https://{appliance-IP}/rest/login-sessions/smartcards --cacert ./rootsplsintermediate.cer
注記:

client-cert.pemファイルは、OpenSSLまたは他の同等な方法で生成できます。このファイルには、クライアント証明書とパスフレーズで保護された秘密キーの両方が含まれます。<PEM passphrase>を実際のパスフレーズに置き換えます。rootsplsintermediate.cerファイルには、ルート証明書とHPE OneViewサーバー証明書の署名に使用された中間証明書のチェーンが含まれます。また、rootsplsintermediate.cerには、HPE OneViewサーバーの自己署名証明書が含まれる場合もあります。

詳しくは、HPE OneView APIリファレンスを参照してください。